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(57) Abstract: A very efficient authentication and authorisation check in n: m relationships is possible with a method for checking 
the entitlement of a user of a telecommunication terminal (1) to a service, whereby an access device (4) on a telecommunication 
network (3) obtains at least one certificate and a proof of identity (10) from the telecommunication terminal (1), whereupon NMT 
(5) together with a certification device (7) carries out a check of whether the certificate giving the identity is valid and has a positive 
status and whether particular authorisation may be obtained from complementary certificates. Should the above be the case, a secret 
(for example a session key) is transmitted (15) to the access device (4) which is also sent (15, 16) to the telecommunication terminal 
(1, 2), encoded with at least the public key. The access device (4) is then activated with a policy corresponding to the rights of the 
telecommunication user. 
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(57) Zusammenfassung: Eine sehr effizeinte Authentisierungs- und Autorisierungs-Priifung in n: m-Verhaltnissen wird ermoglicht 
durch ein Verfahren zur Priifung der Berechtigung eines Nutzers eines Telekommunikationsendgerates (1) fiir einen Dienst, wobei 
eine Zugangseinrichtung (4) eines Telekommunikationsendgerates (1) fiir einen Dienst, wobei eine Zugangseinrichtung (4) eines 
Telekommunikations-netzes (3) vom Telekommunikationsendgerat (1) zumindest ein Zertifikat und einen Identitatsnachweis erhalt 
(10), wonach NMT (5) zusammen mit einer Zertifizierungseinrichtung (7) eine Priifung dahingehend durchfiihrt, ob das identitats- 
bestatigende Zertifikat giiltig ist und einen positiven Status hat und ob sich aus erganzenden Zertifikaten besondere Berechtigungen 
ergebenk wobei, falls dies der Fall ist, der Zugangseinrichtung (4) ein Geheimis (z.B. session key) ubersandt (15) wird, das mit 
zumindest dem offentlichen Schliissel verschliisselt auch an das Telekommunikationsendgerat (1,2) gesand (15, 16) wird und die 
Zugangseinrichtung (4) mittels einer den Rechten des Telekommunikationsteilnehmers ent spree henden Policy freigeschaltet wird. 
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Beschreibung 

Titel „Nutzung eines Public-Key-Schltisselpaares im Endgerat 
zur Authentisierung und Autorisierung des Telekommunikations- 
teilnehmers gegenuber dem Netzbetreiber und Geschaf tspart- 
nern^ 

Die Erfindung betrifft Vorrichtungen und Verfahren zum Priifen 
der Berechtigung (Authentisierung und/oder Autorisierung) ei- 
nes Teilnehmers gegenuber einer Zugangseinrichtung eines Te- 
lekommunikationsnetzes oder gegenuber einem liber dieses Netz 
erreichbaren weiteren Diensteanbieter . 

Gemaft z.B. dem GSM-Standard verwendet eine GSM-Mobilstation 
(Handy) eine SIM-Karte eines Teilnehmers, die ein die SIM- 
Karte identif izierendes Geheimnis enthalt, dass auch dem 
Netzbetreiber bekannt ist (Shared Secret) sowie eine vom die 
Mobilfunkstation benutzenden Teilnehmer abgefragte PIN- 
Nummer. Durch ein geeignetes Protokoll (z.B. das Challenge- 
Response-Protokoll zur GSM-Authentisierung) kann ein Netz- 
betreiber eine SIM-Karte eines Benutzers identif izieren und 
dem Teilnehmer beispielsweise die Benutzung des Mobilfunknet- 
zes gestatten oder verweigern. Dieses Verfahren eignet sich 
jedoch nur zur Authentisierung in n: 1-Beziehungen (Authenti- 
sierung von zum Beispiel n potentiellen Teilnehmern eines Mo- 
bilfunknetzes gegenuber einem Netzbetreiber), ist jedoch un- 
geeignet, urn den Benutzer auch gegenuber mehreren potentiel- 
len (im Voraus nicht abschlieJBend bekannten) Geschaf tspart- 
nern (n: m-Beziehung) zu authentisieren. 

Aufgabe der vorliegenden Erfindung ist es deshalb, eine ein- 
fache und effiziente Authentisierung und Autorisierung eines 
Telekommunikationsteilnehmers fur bestimmte Dienste oder 
Transaktionen liber ein Telekommunikationsnetz gegenuber einer 
Zugangseinrichtung eines Telekommunikationsnetzes, welches 
der Telekommunikationsteilnehmer tiber ein Telekommunikations- 
endgerat mit einem Telekommunikationsteilnehmeridentitatsmo- 
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dul benutzen mochte, zu ermoglichen. Die Aufgabe wird jeweils 
durch die Gegenstande der unabhangigen Anspruche gelost. 

Die Erfindung erlaubt eine einfache und effiziente Authenti- 
sierung eines Telekoiimunikationsteilnehmers gegenuber dem Te~ 
lekommunikationsnetz, tiber welches er (zur Abwicklung der 
Dienste wie Transaktionen etc.) komiauniziert und auch eine 
einfache und effiziente Authentiserung und/oder Autorisierung 
gegenuber Dritten fur vorgegebene Dienste wie Transaktionen 
(vertrauliche E-Mail, Bankgeschaf te, Bezahlungen etc.). 

Das erf indungsgemafie Verfahren funktioniert auch bei n: m- 
Beziehungen wie der Authentisierung von potentiellen Telekom- 
munikationsteilnehmern durch Telekoinmunikationsteilnehmer- 
identitatsiuodule in Telekommunikationsendger^ten gegeniiber 
mehreren (m) Connectivity- Pro vidern fur peer-to-peer- 
Transaktionen zwischen Endanwendern, in Adhoc-Networken etc. 
erlaubt die Generierung eines Zusatznutzens (fur rechtliche 
Verbindlichkeit von Bestellungen, Uberweisungen, etc.) bei 
der Verwendung von Public-key Schliisselpaaren, erlaubt die 
Mehrf achnutzung vorhandener Komponenten (Telekommunikations- 
teilnehmeridentitatsmodule) ohne Erhohung Endgerate-seitiger 
Hardware-Kosten und schafft einen sehr hohen Grad an Sicher- 
heit . 

Das Verfahren ist insbesondere dazu geeignet, mobile Endgera- 
te gegenuber einem Internetprotokoll-Netz fur die Nutzung 
dieses Netzes selbst sowie fur Dienste, welche Dritte tiber 
das Internetprotokoll-Netz anbieten zu authentisieren. 

Weitere Merkmale und Vorteile der Erfindung ergeben sich aus 
den Unteransprtichen und der nachf olgenden Beschreibung eines 
Ausfuhrungsbeispieles anhand der Zeichnung. Dabei zeigt: 
Fig. 1 schematisch eine erf indungsgemaiie Berechtigungspru- 
fung 
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Figur 1 zeigt ein Telekommunikationsendgerat 1 (mobile node 
MN, z.B. zellulares Mobil funkendgerat ftir GSM, UMTS etc.) mit 
einem damit verbundenen (beispielsweise darin einfugbaren) 
Telekonmnnikationsteilne]meridentitatsmodul 2 (z.B. SIM, W- 
5 SIM, UICC eines U-SIM etc.), ein besuchtes Telekommunikati- 
onsnetz 3 (beispielsweise ein Internetprotokoll-Netz eines 
Mobiltelekommunikationsnetzes etc.) mit einer Zugangseinrich- 
tung 4 (AP — Access Point) zum Telekommunikationsnetz 3, mit 
einer Netzwerkmanagementeinrichtung 5 (NMT = Network Manage- 

10 ment Tool) und einer Zugangsverwaltungsinstanz 6 (PDP = Poli- 
cy Decision Point) . Vom Telekommunikationsnetz 3, welches 
der Benutzer des Telekommunikationsendgerates 1 nutzen m6ch- 
te, kann eine Zertif izierungseinrichtung 7 , die auch ein of- 
fentlich zugangliches Verzeichnis der von ihr generierten 

15 Zertifikate sowie der diesen Zertifikaten zugeordneten Sta- 
tusangaben anbietet (im gleichen Telekommunikationsnetz 3 o- 
der in einem anderen Telekommunikationsnetz 8 oder bei einem 
anderen Betreiber oder in einem Trust-Center, auf welches von 
Elementen des Telekommunikationsnetzes 3 zugegriffen werden 

2 0 kann) , kontaktiert werden zur Uberprufung von im Telekommuni- 
kationsendgerat 1 gespeicherten Identitatsangaben (MSISDN 
etc) , Zertifikaten und zur Abfrage der zugehorigen Statusda- 
ten des Telekommunikationsteilnehmers 1 betreffend die Durch- 
flihrung von Diensten. Diese Dienste umfassen z.B. Transport- 

25 dienste, insbesondere die Nutzung des Telekommunikationsnet- 
zes 3 selbst, und/oder Anwendungsdienste wie beispielsweise 
ortsbezogene Dienste und/ oder Transaktionen wie beispiels- 
weise Bestellungen, Oberweisungen etc. mit Anbieter 9 uber 
das Telekommunikationsnetz 3. 

30 

Der Benutzer des Telekommunikationsendgerates 1 mochte gegen- 
tiber dem Betreiber des Netzwerkes 3 und / oder einem Anbieter 
9 (innerhalb des Telekommunikationsnetzes 3 oder aullerhalb 
des Telekommunikationsnetzes 3, beispielsweise auch ein vom 
55 Telekommunikationsnetz unabhangiger dritter Anbieter, welcher 
seine Dienste nur uber das Telekommunikationsnetz 3 anbie- 
tet) , seine Berechtigung zur Inanspruchnahme von Diensten des 
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Anbieters von 3 oder 9 nachweisen, also eine Authentisierung 
und/oder Autorisierung durchftihren. Die Authentisierung 
und/oder Autorisierung erfolgt gegenuber dem Telekommunikati- 
onsnetz 3 oder dem Anbieter des Dienstes 9 (z.B. von dem NMT 
5 (5)), sobald die Identitatsangabe (MSISDN etc) und die Be- 
rechtigung des Telekommunikationsteilnehmers 1 (bzw. des Te» 
lekommunikationsteilnehmeridentitatsmoduls 2) uberprtift wur- 
de • 

Die Uberpriifung der Identitatsangabe und Berechtigung des Te- 
10 lekoimaunikationsteilnehmers 1 erfolgt hier durch Uberprufung 
eines oder mehrerer in dessen Telekommunikationsteilnehmer- 
identitatsmodul 2 gespeicherten Zertif ikate (s) sowie unter 
Anwendung eines ebenfalls im Teilnehmeridentitatsmodul 2 ge- 
speicherten privaten Schliissels eines asyrametrischen (PKI- 
15 basierten) Schlusselpaares. Die Uberprufung wird beispiels- 
weise bei dem Versuch einer Einbuchung des Telekommunikati- 
onsteilnehmerendgerates 1 in das Telekommunikationsnetz 3 im 
Rahmen eines Autorisierungsiiberprtifungsverf ahrens zwischen 
der NMT, Zugangseinrichtung AP 4 und dem Telekommunikations- 
20 teilnehmerendgerat 1 durch Uberprtlf ung des Zertifikates / der 
Zertifikate und Abfrage der zugeordneten Statusdaten in der 
Zertif izierungseinrichtung 7 durchgefiihrt . Der NMT verifi- 
ziert die Gultigkeit des Zertifikates durch eine OCSP- oder 
CRL- Abfrage bei CA 7. 

25 

Das Telekommunikationsteilnehmeridentitatsmodul 1 ubersendet, 
wenn es sich gegenuber der Zugangseinrichtung 4 autorisieren 
mochte, nach Eingabe einer PIN oder einer sonstigen fur den 
Telekommunikationsteilnehmer spezifischen Eingabe (Fingerab- 

30 druck etc) , der Zugangseinrichtung 4 (beispielsweise auf ein 
Angebot (Challenge) der Zugangseinrichtung 4 unter Ubermitt- 
lung einer Challenge-Nummer hin) eine Identitatsangabe 
(betreffend die Identitat des Telekommunikationsteilnehmer- 
identitatsmoduls oder des Endgerates und/oder des Benutzers), 

35 ein oder mehrere (aus einer Identitat s- und/oder zugeordneten 
Berechtigungsangabe, einem offentlichen Schlussel eines asym- 
metrischen Schlusselpaares mit einem durch nur der Zertifi- 
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zierungseinrichtung 7 bekannten Zertif ikatgenerierungsverf ah- 
ren generierbares) Zertifikat, sowie einen durch den privaten 
Schlussel aus dem Telekommunikationsteilnehmeridentitatsmodul 
signierten Schutz gegen eine missbrauchliche Wiederholung ei- 
5 ner abgef angenen Anfrage durch einen Dritten (replay- 

protection, nonce) . Die Zugangsstelle (AP, 4) iibermittelt 
nach tJberprufung der korrekten Zusendung (z.B. challenge hin- 
reichend frisch, nonce korrekt und mittels des im Teilnehmer- 
identitatsmodul gespeicherten privaten Schlussels signiert) , 
10 das/die Zertif ikat (e) an eine fur einen Teil des Netzwerkes 3 
oder das ganze Netzwerk 3 zustandige Netzwerkmanagementein- 
richtung 5 (NMT = Network Management Tool) im Schritt 11. 

Die Netzwerkmanagementeinrichtung 5 tibersendet das/die Zerti- 
15 fikat(e) im Schritt 12 an eine Zertif izierungseinrichtung 7 
(CA = Certification Authority), welche z.B. mittels eines 
OCSP-Responders und unter Verwendung einer Liste widerrufener 
Zertifikate (certificate revocation list, CRL) die Gultigkeit 
des/der Zertif ikate ( s) und die Korrektheit der angegebenen 

2 0 Identitatsangaben und ggf . Berechtigungen) uberpriift und Aus- 

kunft gibt tiber den Status (z.B. giiltig/ungultig etc) des/der 
Zertifikate sowie ggf. die Berechtigungen des Telekommunika- 
tionsteilnehmers . Das Zertif ikat bestatigt die Identitatsan- 
gabe, wenn die Zertif izierungseinrichtung mittels eines ihr 
25 bekannten Verfahrens aus dem Zertifikat die Identitatsangabe 
generieren kann. 

Falls aus dem/ den Zertif ikat (en) von der Zertif izierungsein- 
richtung 7 der offentliche Schlussel und die Identi- 
tat/Berechtigungen des Telekommunikationsteilnehmers 1,2 

3 0 und/oder des Mobilfunkendgerates gewonnen werden kann, und 

die Statusauskunf t (Zertifikat nicht abgelaufen, nicht wider- 
rufen, Berechtigungen etc) ermittelt werden kann, wird der 
Status des Zertifikates von der Zertif izierungseinrichtung 7 
der Netzwerkmanagementeinrichtung 5 im Netzwerk 3 mitgeteilt 
35 (13) . Die Netzwerkmanagementeinrichtung 5 entscheidet anhand 
der mitgeteilten Statusangaben und Berechtigungen tiber den 
Umfang der Berechtigungen des MN 1, Dienste und Ressourcen 
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des TelekoimrLunikationsnetzes 3 in Anspruch zu nehmen und 
teilt dies im Schritt 14 der Zugangsverwaltungsinstanz PDP 6 
mit. Entsprechend dieser Entscheidung gibt dann PDP 6 durch 
tJbertragung einer entsprechenden Policy an den AP 4 fur den 
Telekoinmunikationsteilnehmer 1 die Nutzung des Telekommunika- 
tionsnetzes 3 frei oder sie bleibt bei vollstandig negativer 
Entscheidung des NMT 5 weiterhin gesperrt. 

Die Netzwerkmanagementeinrichtung 5 kann zentral fur das 
Netzwerk 3 auf Anfrage Dritter 9 mitteilen, ob und fur welche 
Dienste etc- ein Mobilfunkendgerat (1) aktuell von der Zerti- 
fizierungseinrichtung 7 als berechtigt betrachtet wird. Fer- 
ner wird bei positivem Zertif ikatsstatus (Zertifikat giiltig 
etc) ein vom NMT (5) erzeugtes Geheimnis (z.B. session key) 
mit einem im Netzwerk 3 verwendeten Verschlusselungsverf ahren 
an die Zugangseinrichtung 4 gesendet und dort entschlusselt . 
Ferner wird das gleiche Geheimnis von der Netzwerkmanagement- 
einrichtung 5 mit dem offentlichen Schltissel des Telekoramuni- 
kationsidentitatsmoduls 2 (welchen offentlichen Schlussel die 
Netzwerkmanagementeinrichtung beim Beginn der Einbuchung vom 
Endgerat 1 uber die Zugangseinrichtung 4 im Schritt 10 erhal- 
ten kann) verschlusselt . Weiterhin kann das NMT 5 sein eige- 
nes Zertifikat uber den AP 4 an den NM 1 ubertragen. 
Hierauf wird von der Zugangseinrichtung 4 mit dem ihr bekann- 
ten (im Telekommunikationsnetz vorgesehenen) Schlussel das 
Geheimnis entschlusselt und darauf wird im Schritt 16 das im- 
mer noch mit dem offentlichen Schlussel des Telekommunikati- 
onsteilnehmeridentitatsmoduls 2 verschlusselte Geheimnis an 
das Telekommunikationsteilnehmeridentitatsmodul 2 ubertragen. 
Im TelekommunikationsteilnehmeridentitM.tsmodul 2 ist auch der 
zum genannten offentlichen Schlussel zugehorige private 
Schlussel gespeichert und wird gewendet um das Geheimnis zu 
entschlusseln. Darauf hin kann dieses Geheimnis beispielsweise 
zur vertraulichen Kommunikation zwischen dem Endgerat 1 und 
der Zugangseinrichtung 4 verwendet werden. 

Die Zugangseinrichtung (4) nimmt den Teilnehmer in eine Liste 
von Telekommunikationsteilnehmern mit Zugang zum Telekommuni- 
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kationsnetz (3) und/ oder Dienst (9) auf, und gewahrt den Zu- 
gang zum Telekommunikationsnetz und/ oder Dienst (9) nur in 
die Liste auf genommenen Teilnehmern. 

5 Weiterhin kann ein Telekommunikationsendgerat 1 mit dem Tele- 
kommunikationsteilnehmeridentitatsmodul 2 bei einem Dritten 
(9) beispielsweise (je nach dem was das/die Zertifikat zu- 
lasst/zulassen) weitere Dienste und Ressourcen in Anspruch 
nehmen, Waren bestellen, elektronisch bezahlen etc., wobei 
10 der Dritte (9) entweder bei einer Einrichtung NMT 5 des Tele- 
kommunikationsnetzes 3 sich den Grad der Berechtigungen bes- 
tatigen lasst oder bei der CA 7 (s.o.) nachfragt. 
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Patent anspruche 

1. Verfahren zur Priifung der Berechtigung eines Teilnehmers 
eines Telekornmunikationsendgerates (1) zur Inanspruchnah- 

5 me eines Dienstes (9) und/ oder Benutzung eines Telekom- 

muni kationsnetzes, 

wobei eine Zugangseinrichtung (4) eines Telekommuni kati- 
onsnetzes (3) vom Telekommunikationsendgerat (1) zumin- 
dest ein Zertifikat und eine Identitatsangabe erhalt 
10 (10), 

wonach eine Netzwerkmanagementeinrichtung (NMT 5) oder 
eine Zertif izierungseinrichtung (7) eine Prufung dahinge- 
hend durchfiihrt, ob das Zertifikat die Identitatsangabe 
bestatigt und einen positiven Status hat, 
15 wobei, falls dies der Fall ist, der Zugangseinrichtung 

(4) ein Geheimnis (session key 15.) iibersandt wird, - das 
mit zumindest dem offentlichen Schltissel verschlusselt 
auch an das Telekommunikationsendgerat (1, 2) gesandt 

(15, 16) wird. 

20 

2. Verfahren nach Anspruch 1 
dadurch gekennzeichnet, 

dass nach der Ubersendung des Geheimnis ses die Zu- 
gangseinrichtung (4) den Teilnehmer in eine Lisfce von Te— 
25 lekommunikationsteilnehmern mit Zugang zum Telekommunika- 

tionsnetz (3) und/oder Dienst (9) aufnimmt, 
wobei die Zugangseinrichtung (4) den Zugang zum Telekom- 
munikationsnetz <3) und/ oder zum Dienst (9) nur in die 
Liste auf genommenen Teilnehmern gewahrt. 

30 

3. Verfahren nach Anspruch 1 oder 2, 
dadurch gekenn.zeichnet, 

dass die Zugangseinrichtung (4) das vom Telekommunikati- 
onsendgerat (1) erhaltene Zertifikat, die Identitat und 
35 eine replay- protection an .eine Netzwerkmanagementein- 

richtung (5) des Telekommunikationsnetzes (3) sendet, 
welche von der Zertif izierungseinrichtung (7) die Prtifung 
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durclifuhren lasst und bei positiver Erflfung das Geheimnis 
an die Zugangseinrichtung (4) und liber die Zugangsein- 
richtung (4) an das Telekommunikationsendgerat (1) sendet 
(15, 16) . 

5 

4. Verfahren nach einem der vorhergehenden Ansprtiche 
dadurch gekenn z e i c h n e t, 

dass das Ergebnis der Prtifung der Zertif izierungs.einrich- 
tung (7) von der Netzwerkmanagementeinrichtung (5) an ei- 
10 ne Dienstverwaltungseinrichtung (6) mitgeteilt wird. 

5. Verfahren nach einem der vorhergehenden Ansprtiche 
dadurch gekennzeich.net, 

dass die Zertif izierungsinstanz (7) in einem anderen 
15 Netzwerk angeordnet ist als die Zugangseinrichtung (4) . 

6. Verfahren nach einem der vorhergehenden Ansprtiche 1 bis 4 
dadurch gekenn.ze.icJa.net, 

dass die Zertif izierungseinrichtung (7) im gleichen Tele- 
20 kommunikationsnetz angeordnet ist wie die Zugangseinrich- 

tung (4) . 

7. Verfahren nach einem der vorhergehenden Ansprtiche 
dadu. rc. h gekennzeichnet, 

25 dass der private Schlussel des Schlusselpaares nur in ei- 

nem Telekommunikationsteilnehmeridentitatsmodul (2) des 
Telekommunikationsendgerates (1) gespeichert ist. 

8. Verfahren nach einem der vorhergehenden Ansprtiche 
30 dadurch gekennzeichnet, 

dass das Telekommunikationsnetz ein Internet-Protokoll- 
Netz ist. 

9. Verfahren nach einem der vorhergehenden Ansprtiche 
35 dadurch gekennzeichnet, 

dass das Telekommunikationsnetz ein zellulares Mobilfunk- 
netz ist. 
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10. Verfahren nach einem der vorhergehenden Ansprtiche 
dadurch gekennzeichnet, 

dass fur ein Telekommunikationsteilnehmeridentitatsmodul 
5 mehrere Zertifikate, insb. Attributzertif ikate verwendbar 

sind, deren positive Prtifung jeweils das Telekoimaunikati- 
onsendgerat fur zumindest eine Art von Transaktionen oder 
sonstigen Diensten oder Berechtigungen zulasst. 

11. Verfahren nach einem der vorhergehenden Ansprtiche 
dadurch gekennzeichnet, 
dass bei positiver Prufung (7) dem Telekommunikationsend- 
gerat die Benutzung von durch Dritten (9) uber das Tele- 
kommunikationsnetz (3) angebotenen Transaktionen oder 
Diensten ermoglicht wird. 

12. Verfahren nach einem der vorhergehenden Ansprtiche 
dadurch gekennzeichnet, 
dass das Telekommunikationsteilnehmeridentitatsmodul (2 ) 

20 einen zum offentlichen Schltissel passenden privaten 

Schltissel gespeichert hat und zur Entschliisselung des mit 
dem offentlichen Schliissel verschlusselten Geheimnisses 
verwendet . 

25 13. Telekommunikationsnetz, insbesondere zur Durchfuhrung des 
Verfahrens nach einem der vorhergehenden Ansprtiche, 
mit 

- einer Zugangseinrichtung (4) zum Empfang eines von ei- 
nem Telekommunikationsendgerat (1) tibersandten (10) Zer- 

30 tifikates und Identitatsangabe, 

- einem Zugang zu einer Zertif izierungseinrichtung (7) 
mit einem Zertif ikatgenerierungsverf ahren zum Generieren 
von Zertifikaten aus offentlichen Schltisseln, welche Zer- 
tif izierungseinrichtung die Gtiltigkeit eines Zertifikates 

35 sowie zugehorige Statusangaben auf Anfrage mitteilt (13), 

wobei der Zugang eines Telekommunikationsendgerates (1) 
zu einem fur Inhaber (1) eines Zertifikates erlaubten 
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Dienst eines Anbieters (9) durch eine Einrichtung (4; 6) 
des Telekommunikationsnetzes (3) nur insoweit gewahrt 
wird, wie die Prufung eines Zertifikates / der Zertifika- 
te des Telekommunikationsendgerates durch die Zertifizie- 
rungseinrichtung (7) anhand des of f ent lichen Schliissels 
erfolgreich war. 

14. Telekoinmunikationsteilnehiueridentitatsmodul (2), insbe- 
sondere zur Durchfiihrung des Verfahrens nach einem der 
Ansprtiche 1 bis 12 , 

mlt einem Speicher ftir mindestens einen privaten und of- 
fentlichen Schltissel eines Schltisselpaares und ftir ein 
Zertifikat, welche zusammen zur Berechtigungsprtifung ftir 
Dienste (9) eines Telekommunikationsnetzes vorgesehen 
sind. 
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authorisation check in n: m relationships is possible with a method for 
checking the entitlement of a user of a telecommunication terminal (1) to a 
service, whereby an access device (4) on a telecommunication network (3) 
obtains at least one certificate and a proof of identity (10) from the 
telecommunication terminal (1), whereupon NMT (5) together with a 
certification device (7) carries out a check of whether the certificate giving 
the identity is valid and has a positive status and whether particular 
authorisation may be obtained from complementary certificates. Should the 
above be the case, a secret (for example a session key) is transmitted (15) to 
the access device (4) which is also sent (15, 16) to the telecommunication 
terminal (1,2), encoded with at least the public key. The access device (4) is 
then activated with a policy corresponding to the rights of the 
telecommunication user. 
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